Documentos internos revelan los temores de la Comisión sobre la dependencia de Microsoft

BRUSELAS – Los funcionarios de la Comisión Europea temen que su gran dependencia de Microsoft constituya una clara violación de las normas de la UE sobre datos, según documentos internos de la Comisión vistos por Euractiv, que contradicen las declaraciones públicas del Ejecutivo al respecto.

Las preocupaciones se centran en el uso por parte de la Comisión de Microsoft365 como espacio de trabajo digital, lo que ha suscitado inquietudes en materia de seguridad y privacidad entre algunos miembros del ejecutivo.

El SEPD, organismo de control de la protección de datos de la UE, ha ordenado a la Comisión que ajuste su uso de Microsoft a las normas. Esto implica explorar alternativas menos intrusivas que Microsoft, pero poco se ha hecho al respecto.

El caso es un claro ejemplo del abismo que separa el deseo europeo de autonomía en ámbitos tan sensibles como la informática y la realidad de su dependencia de la tecnología estadounidense.

«No se conocen ofertas creíbles de proveedores europeos», reza un documento interno de la Comisión visto por Euractiv.

Las autoridades francesas, en particular, expresaron su preocupaciónpor «los riesgos potenciales asociados al uso de soluciones basadas en Estados Unidos», añade la nota.

En otro informe reciente de la Dirección General de Servicios Digitales (DG DIGIT), también consultado por Euractiv, se menciona la preocupación por «el excesivo poder en manos de unas pocas empresas no europeas, los riesgos asociados a un único proveedor (subidas de precios, dificultades de migración) y la posible pérdida de competencias internas», preocupaciones que la Comisión aún no ha reconocido públicamente.

El informe también hace una descripción muy positiva de las iniciativas de los Estados miembros para desarrollar alternativas abiertas y soberanas a Microsoft, aunque sólo concluye que la DG DIGIT «planeará» evaluarlas internamente como un «posible complemento» para iniciativas «a pequeña escala» con un «alcance muy restringido»

Cuando se le preguntó por los planes de revisión interna, la Comisión dijo que hace un seguimiento exhaustivo del uso del código abierto en toda la Unión Europea y se describe a sí misma como una «adoptadora del software de código abierto.»

«Sin embargo, en este momento, no se han identificado alternativas funcionalmente equivalentes a una plataforma como Microsoft365», dijo a Euractiv el portavoz de la Comisión, Thomas Regnier.

Microsoft declinó hacer comentarios, remitiéndose en su lugar a la Comisión, señalando que esta última es objeto de la investigación del SEPD.

Con Microsoft, la Comisión tiene un control limitado sobre los datos sensibles y confidenciales. Sin una alternativa, tendría poca influencia para impedir que Microsoft fije el precio que quiera en las negociaciones contractuales actualmente en curso y ya superadas.

«Las partes siguen sin converger ni en contenido ni en precio» y «si las negociaciones no finalizan antes de febrero, tendremos problemas», reza un resumen del subgrupo de Nube y Lugar de Trabajo Digital del ICDT en el Consejo del 21 de noviembre.

La Comisión contra el SEPD

El principal organismo en condiciones de examinar el uso que la Comisión hace de Microsoft es el SEPD.

En marzo de 2024, ordenó a la Comisión que revisara su contrato actual para ajustar sus prácticas a las normas institucionales de protección de datos de la UE(EUDPR).

Según el SEPD, el contrato no ofrece suficientes salvaguardias para impedir las transferencias ilegales a países con una legislación insuficiente en materia de protección de la intimidad y la divulgación no autorizada de datos personales.

Pero la Comisión respondió demandando al SEPD, calificando la orden de «interpretación y aplicación erróneas» del RGPD.

El 6 de diciembre, tres días antes de la entrada en vigor de la decisión, la Comisión envió al SEPD un informe y documentación justificativa para demostrar su cumplimiento.

Cuando se le preguntó por la situación, el portavoz de la Comisión también reiteró que «su despliegue de Microsoft365 cumple los requisitos del [RDPUE] y que lo ha demostrado suficientemente durante la investigación del SEPD»

El SEPD está revisando actualmente los documentos, pero reiteró en un comunicado de prensa el 10 de diciembre que «la decisión de 8 de marzo de 2024 sigue siendo plenamente aplicable».

El SEPD sólo es responsable de supervisar la privacidad de los datos, pero la falta de control de los datos que ha señalado en relación con el uso de Microsoft por la Comisión plantea también cuestiones de seguridad fundamentales.

No existe un organismo similar al SEPD para la ciberseguridad

Según las normas de la UE, Microsoft365 no puede gestionar documentos o reuniones altamente clasificados.

Pero la falta de alternativas soberanas seguras y útiles crea un incentivo para clasificar los elementos como menos sensibles de lo que realmente son, para permitir la conveniencia de utilizar Microsoft, dijo a Euractiv un funcionario de una institución de la UE, que habló bajo condición de anonimato.

No hay ningún organismo específico que pueda amonestar a la Comisión por falta de ciberseguridad, como hace el SEPD en relación con el tratamiento de datos personales.

El organismo con un mandato comparable sería el equipo interinstitucional de respuesta a emergencias informáticas para las instituciones, organismos y agencias de la UE (CERT-UE), ya que su misión es «recopilar, gestionar, analizar y compartir información con los constituyentes sobre amenazas, vulnerabilidades e incidentes en infraestructuras TIC no clasificadas»

Sin embargo, puede resultar difícil para el CERT-UE denunciar públicamente las prácticas actuales, ya que él mismo tiene su sede administrativa y financiera en la DG DIGIT.

Tampoco es el papel de la agencia, que se supone que debe apoyar a las instituciones, no evaluarlas.

¿Menos escrutinio en el futuro?

Además del caso Microsoft, el SEPD dictaminó recientemente que la Comisión provocó ilegalmente el tratamiento de datos sensibles al dirigirse a usuarios de izquierdas en X para influir en las opiniones sobre un polémico reglamento sobre controles del chat en 2023.

Actualmente no está claro cómo se posicionará el SEPD en el futuro, ya que Wojciech Wiewiórowski, el anterior jefe del SEPD hasta el 5 de diciembre, podría no ser reelegido, ya que se enfrenta a tres contendientes para otro mandato: el actual Jefe de Flujos y Protección de Datos Internacionales de la Dirección General de Justicia y Consumidores (DG JUST), Bruno Gencarelli, el antiguo Vicepresidente de la Autoridad Francesa de Protección de Datos (APD), Francois Pellegrini, y la Presidenta de la Comisión de Protección de Datos del CERN, Anna Pouliou.

Tres personas que siguen el proceso dijeron a Euractiv que, de ser elegido, esperan que Gencarelli sea más amistoso con la Comisión, ya que procede directamente de una posición de revisión de las prácticas actuales de la Comisión.

Un SEPD alineado con la Comisión daría al organismo un pie en la puerta del Consejo Europeo de Protección de Datos (CEPD), que es importante para guiar la aplicación del RGPD en la UE.

Esto podría ser útil en casos como el reciente dictamen sobre el uso de datos personales en la formación en IA, sobre el que varias partes interesadas dijeron a Euractiv que la Comisión había señalado claramente antes de su publicación que quería una interpretación indulgente.

El nuevo SEPD tendrá que ser aprobado conjuntamente por el Consejo y el Parlamento, dirigido por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE).

El Consejo escuchará a los cuatro candidatos el 15 de enero y la audiencia de la LIBE está prevista para el 16 de enero, junto con una votación sobre su preferencia.

Es probable que el uso de Microsoft sea un tema candente en las audiencias. Dado que el Parlamento y los Estados miembros también son usuarios de Microsoft, la elección puede reducirse a si los miembros del Consejo y la LIBE valoran más la privacidad y la seguridad que no tener que cambiar sus sistemas informáticos.

[Editado por Chris Powers/Daniel Eck]